2019年5月,《欧盟非个人数据自由流动条例》(以下简称《条例》)正式生效,该《条例》是为了在数据处理领域建立行业内和国家间的信任,为欧盟境内的商业数据处理活动提供基本准则。为增强《条例》的操作性和实用性,欧盟委员会同步出台了《欧盟非个人数据自由流动条例的实施指南》(以下简称《指南》)。《条例》及其《指南》的实施,在欧盟数据流通和保护版图中又加入了一块重要拼图,更是欧盟推进数字单一市场构建方面迈出的实质一步。
非个人数据在欧盟境内自由流动框架条例
欧盟非个人数据流动监管的主要规则逐步清晰、细化
《条例》的篇幅不长,但明确了欧盟成员国政府在非个人数据流动监管领域须遵循的基本原则,即自由流动、规则透明、公共安全保留。其三大核心内容为:一、成员国政府除非基于公共安全原因,不得对非个人数据的存放位置、存储或处理加以限制。在《条例》正式实施起一年之内,除非基于公共安全原因,成员国政府必须废止现行的不公平的数据本地化政策。且自《条例》生效后,所有基于公共安全原因颁布的数据本地化政策都必须向欧盟委员会报备,并向公众充分公开。二、为实现监管执法目的,成员国可以依法获取存储在另一国的数据。三、鼓励通过行业自治规范数据迁移行为,在客户改变云服务提供商或者将数据转移至其他系统的情况下,明晰相关方的行为条例。
现实中,大多数企业在数据库或IT系统中存储或处理的是多样数据(即混合数据池)。尤其在物联网、人工智能、大数据分析等应用蓬勃发展的情况下,混合数据库更是占据了现实中数据库的绝大多数。典型的混合数据库,例如包含公司职员姓名、联系方式的公司税务记录,包含客户信息、交易信息的银行数据,包含用户住址、使用习惯等信息的物联网数据等。对于在数据库或IT系统中存储或处理多样数据(即混合数据池)的企业,在数据处理过程中区分个人数据和非个人数据并非易事。欧盟委员会考虑到这一实际操作中的难题,通过出台《指南》加以应对。
《指南》明确,个人数据指可以直接或间接识别自然人的信息。非个人数据是个人数据以外的信息。非个人数据主要包括两类,一类是原本就与自然人无关的信息;另一类是匿名化的个人数据,即无法通过还原或与其他信息匹配识别自然人。典型的非个人数据包括空调发动机的运转信息,商品销售报告中的统计信息,金融行业中的高频交易信息,用来优化农药、化肥、水施用的农业报告信息等。 除了按照以上标准界定区分个人信息和非个人信息以外,《指南》还进一步着重明确了混合数据库如何适用条例:如果数据库中的个人数据和非个人数据可以独立,则分别适用《条例》和《欧盟一般数据保护条例》(GDPR)。如果两类信息不可分离,则统一适用GDPR,即使个人数据在数据库仅占较小比例。不可分离一般是指在以下情况:技术上无法实现,实现成本极高,或者一旦分离将严重损害数据的整体价值等。
欧盟数据监管版图加入了重要一块
作为最早开展个人数据保护的地区,欧盟的数据保护和监管一直处于世界领先水平,其颁布的主要数据监管政策在全球范围具有重要的示范作用。欧盟本身在完善数据监管条例的道路上更是一直没有停下脚步。个人数据、个人电子隐私、非个人数据、电子证据等——适用于各类重要数据的监管政策陆续出台,令人明显感受到,欧盟意在构筑一个涵盖所有重要的数据类型的完整数据监管框架,为数字经济时代提供尽可能完善的制度基础设施。
目前,欧盟数字监管政策主要由以下条例构成:一是GDPR,适用于个人数据的保护和流动。二是《欧盟非个人数据流动条例》,适用于个人数据以外的信息,即非个人数据的流动。三是《欧盟电子隐私保护条例》,适用于Cookie、互联网追踪装置等涉及的个人线上信息,是GDPR的补充,也是适用于信息通信行业的特别条例。四是《欧盟电子身份框架》,适用于欧盟境内电子身份等安全服务。五是《欧盟电子证据条例(草案)》,适用于科技企业向政府部门提供数据,即通信协助,是数据时代下政府监管中的敏感但不可回避的问题。
前述欧盟若干数据监管方面的法规政策各占据一方,适用范围基本互补,在互补中又有对重点领域的强化,构筑了一张强韧的制度之网,为数字经济的发展保驾护航。
进一步推动欧盟单一数字市场条例构建
对于在互联网行业落后于美国的现实,欧盟一直都有清醒认识。时至今日,欧盟更加认识到,数字化对未来欧盟保留和创造就业机会至关重要,而目前欧盟只有五分之一的商业达到高度数字化,大力发展数字经济成为欧盟无法回避的选择。现今,欧盟认为虽然自身在数字经济发展方面暂时步伐缓慢,但具有众多相关优势:如强大的基础设施,快速发展的行业生态等,善加利用仍然可以促进数字经济的迅猛发展。
2015年以来,欧盟委员会倡导建立欧盟统一数字市场,涵盖了5G、人工智能、云计算、大数据等重点领域,涉及未成年人保护、万物互联、基础设施互联、文化和教育等方方面面。四年来,欧盟单一数字市场倡导之初所提出的所有计划立法项目都已经开展,足见欧盟对构建数字时代的基本条例的决心和行动力。
数据监管条例与互联网行业发展具有紧密而复杂的关系。早在上世纪七八十年代,欧共体与美国就针对数据保护与贸易限制进行过针锋相对的争论。在当下,如何利用数据监管条例为欧盟发展数字经济注入强心剂,也是欧盟面对的重要课题。此次《条例》及《指南》的颁布,可以看作是欧盟在此方面的一次重要努力。对内,《条例》进一步推动了成员国之间的制度统一性和协调性,打通数据流通关卡,消除数据流通人为障碍,让数据在流动中释放价值,使不同主体最大限度受益。对外,《条例》倡导通过行业自治推动云计算行业的数据流动条例,鼓励用户采用欧盟本土云计算企业所提供的服务,鼓励用户在云计算服务提供商之间迁移数据(一般是从美国等目前先进的云计算企业迁出,迁入欧盟本土云计算企业),为互联网行业在数字时代的重新洗牌开辟道路。
尽管《条例》及《指南》的颁布是欧盟数据监管方面的一项进步,但不可否认,《条例》的内容仍然以概括性和原则性条款居多,有些内容是对欧盟法中数据自由流动、非歧视等基本原则的重述,实际操作性略显不足。例如,涉及公共安全的制度保留、比例原则、个人数据和非个人数据的不可分离等关键概念仍然停留在纸面,暂时缺乏丰富的现实案例对其予以支撑。欧盟未来如何充分利用有关条例完善数据监管,促进数字经济健康发展,我们拭目以待。